連載
» 2008年05月08日 00時00分 公開

第11回 社内ネットワークの安全を保つネットワーク・アクセス保護NAPとは(前編)Windows Server 2008の基礎知識(4/5 ページ)

[田辺茂也(IT Pro エバンジェリスト),マイクロソフト株式会社]

 NAPのサーバは、ポリシーの管理やクライアントから送られてくる正常性ステートメントの検証を行い、ポリシーを満たしているかどうかを確認し、内部ネットワークへのアクセスを許可するかどうか判断する。ポリシーを満たしていない場合は、クライアントやネットワーク機器と連携して、強制的に制限ネットワークに接続する。その場合でも特定のサーバには接続できるようにし、ポリシーを満たすようにクライアント・コンピュータを修復することもできる。

 もう少し具体的にNAPがどのような仕組みになっているのか、NAPの構成要素ごとに見ていこう。前出のNAPの全体構成図を再度示す。

NAPの全体構成(再掲)

・ネットワーク・ポリシー・サーバ(NPS:Network Policy Server)
  ネットワーク・ポリシー・サーバ(NPS)は、NAPのサーバ側の中心となるコンポーネントであり、ポリシーを設定したり、「システム正常性検証ツール(SHV:System Health Validator)」と連携してクライアントの正常性に応じてNAP強制(正常性の状態に応じて、強制的にネットワークのアクセス先などを制御すること)を行ったりする。

 複数のSHVで、さまざまなOSの正常性を検証し、条件分岐をしながらポリシーと照らし合わせていき、後述のNAP強制の方法で、アクセスを制限したり許可したりする。サーバ側の多様なコンポーネントの複雑な組み合わせを統合的に管理するのがNPSである。

 設定は、NPSの管理ツールで行う。NPSはリモート接続や802.1x(IEEE 802.1x)接続の認証を行うRadiusサーバであるが、NAPポリシー・サーバの機能も含まれている。

・システム正常性検証ツール(SHV)
  全体的な管理はNPSで行われるが、システム正常性の検証を行っている実体はSHVである。クライアントの「システム正常性エージェント(SHA:System Health Agent)」から受け取った「正常性ステートメント(SoH:Statement of Health)」は、あくまで状態のレポートであり、SHVを使って組織で決められたポリシーを満たすかどうかを検証することで、クライアントの正常性が十分かどうか判断できる。

 例えば、Windows SHAから、ファイアウォール/ウイルス対策ソフトウェア/Windows Updateの各状態の情報を受け取り、サーバで定義されているポリシーと照らし合わせて、満たしているかどうかを検証する。SHAとSHVはペアになっているため、SHAが複数種類ある場合は、SHVも同じだけ用意されていなければならない。

SHVの設定画面
OSごとにポリシーの設定が可能だ。ここでチェックしたポリシーが満たされているかどうかが検証されることになる。

・正常性管理サーバ
 SHVによっては、正常性の基準を動的に管理する必要がある。それらの情報を管理するのが正常性管理サーバである。例えば、ウイルス対策ソフトウェアであれば最新の定義ファイルのバージョンを、Windowsの更新プログラムであれば現在提供されている更新プログラムの一覧などの情報を管理する。

・修復サーバ
  ポリシーを満たしていないクライアント・コンピュータを修復するための、データやサービスを提供するサーバ。ウイルス対策ソフトウェアの定義ファイルや、WSUSによる更新プログラムの提供などを行う。ネットワーク制限を受けた状態でも修復サーバへのアクセスは許可されるため、ポリシーを満たすように修復して、あらためて正常性チェックを行うことにより、ネットワークへのフルアクセス許可を得られる。

・クライアント
  クライアント・コンピュータには、NAPコンポーネントがインストールされ、正常性のチェックやNPSへの報告を行う。NAP対応のクライアントは、以下に示すSHA、強制クライアント、NAPエージェントの3つのパーツで構成されている。

構成パーツ 説明
SHA  SHAは、コンピュータの正常性をチェックするコンポーネントである。Windows標準のSHA(Windows SHA)は、セキュリティ・センターの情報を基に、ファイアウォール、ウイルス対策ソフトウェア、Windows Updateの設定や動作状況をチェックする。サーバ側で定義されたポリシーと照らし合わせて、必要なセキュリティ機能が正常動作しているかが検証される。例えば、「ファイアウォールを有効にすること」がポリシーで要求されている場合は、ファイアウォールがオン(緑)の状態で、ネットワークへのフルアクセスが許可される。ユーザーがファイアウォールをオフにすると、セキュリティ・センターの表示が赤に変わり、ほぼ遅れなくSHAが検知し、ネットワーク・アクセスが制限状態に変わる。

 SHAはサーバにあるSHVとペアになっており、Windows SHAからの情報(SoH)は、Windows SHVで検証される。なお、セキュリティ・センターの情報を利用しているため、セキュリティ・センターのないWindows Server 2003/2008には、Windows SHAが提供されていない。一方、Windows SHAやサードパーティのSHAを複数組み合わせることもできる。
強制クライアント  ネットワークへのフルアクセス、制限アクセスを強制するコンポーネントを「強制クライアント」と呼ぶ。またSHAやNAPエージェントと連携し、現在の強制状態を通知したり、SoHを送信したりする役割も受け持つ。NAPの強制方法ごとに、それぞれの強制クライアントが必要である。
NAPエージェント  コンピュータの状態をSoHとしてSHAから取りまとめ、強制クライアント経由でサーバのSHVに提出するのが「NAPエージェント」である。「Network Access Protection Agent」という名前のサービスとして動いている
NAP対応クライアントを構成する要素

 マイクロソフトが提供するNAP対応クライアントは、Windows VistaとWindows XP SP3である。そのほかのOSについては、マイクロソフトからは提供されないが、サードパーティがNAPコンポーネントを提供すればNAPに対応可能だ。なお、Windows Server 2008にも、NAPクライアントが含まれているが、セキュリティ・センターがないため、Windows SHAは提供されていない。NAPに対応するためには別途、SHAが必要となる。

・正常性ステートメント(SoH)
  NAPクライアントがネットワークに接続されているときに、NAPサーバに送られるのがSoHである。SHAによって調査されたクライアントの状況が、SoHとして作成され、NAPエージェントが取りまとめてサーバとやりとりを行う。なおSoHの内容だけで、クライアントの正常性を判断することができないため、ポリシーと照らし合わせて初めて判断されることになる。これは組織やネットワークによって正常かどうかの判断基準が異なるためである。

・ポリシー
  正常性の判断基準となるのがポリシーである。クライアントから受け取ったSoHを検証し、ポリシーを満たしているかどうかを判断する。SoHを基に、正常性を判断するためのポリシーを正常性ポリシーと呼び、ネットワーク強制を行うためのポリシーをネットワーク・ポリシーと呼ぶ。ネットワーク・ポリシーは複数の正常性ポリシーや、時間帯、コンピュータのグループなどのさまざまな条件を組み合わせて、ネットワークへの接続を許可したり制限したりすることができる。複数のネットワーク・ポリシーを作成し、評価する順序を決めることも可能だ。NAPに対応していないクライアントが内部ネットワークに接続できるかどうかも、ネットワーク・ポリシーで決めておく。

・ネットワーク強制のためのサーバとネットワーク機器
  クライアントの正常性に応じてネットワーク接続の許可や制限を行うには、それぞれの強制クライアントに対応した強制サーバが必要になる。強制サーバはソフトウェアの場合もあれば、ハードウェアの場合もある。例えば、DHCP、VPN、IPsec、ターミナル・サービス・ゲートウェイの各強制サーバは、Windows Server 2008上のサービスとして実装されている。また、802.1xのNAP強制は、対応するイーサネット・スイッチや無線LANアクセス・ポイントなどのネットワーク機器により実現される。

【更新履歴】

【2008/05/10】正常性管理サーバの説明を変更しました。


Copyright© Digital Advantage Corp. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。